信息安全工程师-云计算安全核心知识框架

一、引言

（一）核心概念定义

云计算安全是指保护云计算基础设施、应用、数据和用户资产免受内部及外部威胁的技术、策略和管理体系的集合，核心是在多租户共享、资源弹性调度的云架构下，实现传统 IT 安全体系的适配与扩展，满足云计算场景下的特殊安全要求。

（二）软考考点重要性

根据《信息安全工程师考试大纲（2022 版）》要求，云计算安全属于 "应用安全技术" 模块的核心考点，占比约 8%-12%，高频考点包括云安全责任共担模型、特有威胁类型、新增安全需求、等保 2.0 云扩展要求等，是历年案例分析和选择题的必考内容。

（三）技术发展脉络

云计算安全的发展经历了三个核心阶段：2006-2012 年为萌芽期，重点解决虚拟化安全隔离问题；2013-2018 年为体系建设期，云安全联盟 CSA 发布云安全指南系列标准，形成责任共担模型框架；2019 年至今为合规深化期，各国相继出台云计算安全法规，我国等保 2.0 明确云扩展要求，云安全进入标准化、合规化发展阶段。

（四）内容覆盖说明

本文将系统梳理云计算核心特征、部署与服务模式、"端 - 管 - 云" 三维威胁模型、六大新增安全需求等核心知识点，结合考试要求明确考点侧重与备考要点。

云计算安全知识体系图谱

二、云计算安全基础：核心特征与架构模式

（一）云计算四大核心特征

1. IT 资源服务化：计算、存储、网络等资源以标准化服务形式交付，用户无需关心底层硬件实现，该特征导致安全责任边界从传统的用户自建边界转变为供需双方共担。
2. 多租户共享：同一基础设施承载多个独立租户的业务，通过逻辑隔离实现资源复用，是云安全区别于传统 IT 的核心根源。
3. 按需弹性伸缩：资源可根据业务需求动态扩缩容，按实际使用量付费，该特征导致安全策略需要具备动态适配能力，传统静态边界防护机制失效。
4. 资源池化调度：底层硬件资源被抽象为统一资源池，由云平台统一调度分配，用户对资源的物理位置、运行状态透明，带来数据位置不可控、运维审计难度提升等问题。

（二）三大服务模式与安全责任划分

1. IaaS（基础设施即服务）
   • 服务内容：云服务商提供虚拟机、块存储、VPC 网络等基础设施资源，用户负责操作系统、中间件、应用、数据的安全运维。
   • 安全责任边界：云服务商负责物理设施、虚拟化层、基础网络的安全，用户负责上层系统与数据安全，典型案例如阿里云 ECS、腾讯云 CVM。
2. PaaS（平台即服务）
   • 服务内容：云服务商提供开发运行环境、数据库、中间件等平台资源，用户负责应用开发、数据管理与业务逻辑安全。
   • 安全责任边界：云服务商负责基础设施、平台软件、运行环境的安全，用户负责应用代码、业务数据、访问控制安全，典型案例如阿里云 RDS、华为云 DevCloud。
3. SaaS（软件即服务）
   • 服务内容：云服务商提供完整的应用软件服务，用户仅需通过终端访问使用，无需管理任何底层资源。
   • 安全责任边界：云服务商负责全栈安全，用户仅需负责账号管理、终端安全与数据合规，典型案例如企业微信、钉钉、Salesforce CRM。

（三）四大部署模式与防护重点

1. 公有云：面向社会公众提供服务，由云服务商统一运营，防护重点为多租户隔离、公共 API 安全、DDoS 防护、合规资质满足，适用于中小微企业非核心业务。
2. 私有云：单一组织专属，可部署在组织内部或服务商机房，防护重点为虚拟化安全、内部访问控制、数据主权保障，适用于金融、政府等强监管行业核心业务。
3. 社区云：供特定行业 / 社区内多个组织共享，防护重点为社区内租户隔离、行业合规统一适配、跨组织访问控制，适用于医疗联合体、政务协同等场景。
4. 混合云：两种及以上部署模式的组合，通过统一管理平台实现资源调度，防护重点为跨云边界安全、数据流动管控、统一身份认证，适用于核心业务私有化、非核心业务公有化的企业架构。

云服务模式安全责任共担矩阵图

三、云计算 "端 - 管 - 云" 三维威胁分析模型

（一）"端" 侧（用户侧）威胁

1. 终端安全威胁：用户终端存在系统漏洞、恶意软件，导致账号凭证被窃取，是云资源非法访问的主要入口，据 CSA 统计，42% 的云数据泄露事件源于用户终端失陷。
2. 身份认证风险：弱口令、未启用多因素认证导致账号被劫持，攻击者可直接登录云控制台窃取数据、销毁资源，2023 年某电商企业因运维人员云账号弱口令，导致 120 万用户数据泄露。
3. 非法访问风险：未经授权的内部员工或外部攻击者假冒合法用户访问云资源，越权操作业务系统。

（二）"管" 侧（网络侧）威胁

1. 传统网络威胁延续：网络监听、中间人攻击、DDoS 攻击等传统威胁在云环境下依然存在，且因云平台业务集中性，攻击影响范围更广，2022 年某公有云服务商遭受 2.3Tbps DDoS 攻击，导致上百家客户业务中断 4 小时。
2. 云网络特有风险：VPC 配置错误导致内部资源暴露在公网，虚拟网络流量不可视导致横向攻击无法检测，据阿里云安全统计，35% 的云安全事件由 VPC 安全组配置错误导致。

（三）"云" 侧（平台侧）特有威胁（核心考点）

1. 共享技术漏洞风险：多租户依赖的虚拟化层、存储层存在安全漏洞，可导致租户隔离失效，攻击者实现虚拟机逃逸，获取宿主机控制权，典型漏洞如 2017 年的 VMware ESXi 漏洞 CVE-2017-4924。
2. 数据残留风险：云存储资源被回收分配给新租户时，未对原有数据进行彻底擦除，导致原租户数据泄露给新租户，2021 年某云服务商块存储回收机制存在缺陷，导致多家企业历史数据被其他租户访问。
3. 不安全 API 风险：云平台开放的管理 API、业务 API 存在身份认证缺陷、越权访问漏洞，或 API 密钥泄露，攻击者可通过 API 批量操作云资源，2022 年某社交平台因 API 密钥泄露，导致 5 亿用户数据被爬取。
4. 供应商锁定风险：用户业务深度依赖云服务商专属技术栈，迁移成本极高，当服务商出现服务中断、合规问题或价格上涨时，用户无法快速切换平台，导致业务连续性受损。
5. 内部运维风险：云服务商内部运维人员拥有基础设施最高权限，恶意操作或误操作可导致大规模用户数据泄露或业务中断，2023 年某云服务商内部员工违规查询用户数据，被追究刑事责任。
6. 资源滥用风险：攻击者租用云资源组建僵尸网络、部署挖矿程序、存储非法数据、发动 DDoS 攻击，云服务商因监管不严承担合规责任。
7. 数据跨境风险：用户数据实际存储位置可能位于境外，违反《数据安全法》《个人信息保护法》关于重要数据、核心数据境内存储的要求，带来合规风险。

"端 - 管 - 云" 云安全威胁分类示意图

四、云计算六大新增安全需求详解

（一）多租户安全隔离

1. 需求定义：实现不同租户计算、存储、网络资源的逻辑隔离，确保租户无法访问其他租户的资源，也无法通过漏洞逃逸获取底层平台权限，是云安全的核心基石。
2. 实现机制：计算层面通过 CPU 虚拟化隔离、内存地址空间隔离实现；存储层面通过块存储卷加密、租户 ID 权限校验实现；网络层面通过 VPC 虚拟私有云、安全组、微分段实现。
3. 标准要求：等保 2.0 云扩展要求明确，三级以上云平台需实现不同租户之间的资源强隔离，防止租户间的越权访问和数据泄露。

（二）虚拟资源安全

1. 需求定义：保障虚拟机、虚拟网络、虚拟存储等虚拟化资源自身的安全，防范虚拟化漏洞攻击、虚拟机逃逸、虚拟网络嗅探等特有攻击。
2. 核心防护要点：定期更新虚拟化平台漏洞补丁，启用虚拟机热迁移加密，部署虚拟防火墙、云 WAF、云 HIDS 等虚拟安全组件，对虚拟网络流量进行全流量检测。
3. 典型应用：某金融私有云部署云原生安全平台，实现对 2000 台虚拟机的漏洞扫描、入侵检测、微隔离防护，2023 年拦截虚拟机逃逸攻击尝试 17 次。

（三）云服务安全合规

1. 需求定义：云服务商和租户双方需满足法律法规、行业规范对云计算的特定要求，明确双方安全责任边界，确保云服务全流程合规。
2. 核心合规要求：云服务商需取得《云计算服务安全评估办法》要求的安全评估认证，符合等保 2.0 相应等级要求，向用户提供合规证明材料，明确数据主权归属、安全事件响应责任等条款。
3. 责任划分依据：《网络安全法》规定，云服务商作为基础设施运营者，承担基础安全责任，租户作为业务运营者，承担业务和数据安全责任。

（四）数据可信托管

1. 需求定义：建立用户对云平台的信任机制，确保用户数据在传输、存储、处理全生命周期的机密性、完整性、可用性，防止数据被云服务商或第三方未授权访问。
2. 实现技术：传输层采用 HTTPS/TLS1.3 加密，存储层采用 AES-256 加密，密钥由用户自主管理；处理阶段采用可信执行环境（TEE）、同态加密等技术，实现数据可用不可见；通过云审计服务实现所有数据操作的可追溯。
3. 标准支撑：CSA 云安全指南提出的 "数据治理框架"、我国《数据安全法》关于数据托管的相关要求，是数据可信托管的核心标准依据。

（五）安全运维与业务连续性保障

1. 需求定义：云服务商需提供高等级的运维安全保障和容灾备份能力，确保云平台和用户业务的持续运行，降低服务中断风险。
2. 核心指标要求：云平台可用性需达到 99.95% 以上，核心业务区域需采用 "两地三中心" 容灾架构，提供 7×24 小时安全运维服务，安全事件响应时间不超过 4 小时。
3. 实践案例：某公有云服务商为金融客户提供同城双活 + 异地灾备的容灾方案，RPO（恢复点目标）小于 5 分钟，RTO（恢复时间目标）小于 30 分钟，满足金融行业业务连续性要求。

（六）全生命周期隐私保护

1. 需求定义：对云上承载的个人信息、敏感数据，遵循 "采集 - 传输 - 存储 - 使用 - 共享 - 销毁" 全生命周期保护要求，满足《个人信息保护法》相关规定。
2. 核心保护措施：采集阶段获得用户明示同意，传输与存储阶段加密，使用阶段采用数据脱敏、差分隐私技术，共享阶段进行安全评估，销毁阶段采用数据擦除、介质消磁等技术彻底清除数据。
3. 合规要求：云上处理超过 100 万人个人信息的云服务商，需每年开展个人信息保护影响评估，并向监管部门提交报告。

云计算六大新增安全需求实现路径图

五、云安全技术演进与前沿趋势

（一）当前发展动态

1. 云原生安全成为主流：以容器安全、微服务安全、DevSecOps 为核心的云原生安全技术，实现安全能力与云平台的深度融合，取代传统安全设备上云的防护模式。
2. 零信任架构与云安全深度结合：以身份为核心的零信任访问机制，替代传统基于网络边界的防护模式，实现对云资源访问的动态授权、持续验证。
3. 托管安全服务（MSS）普及：云服务商为用户提供一体化的托管安全服务，包括漏洞扫描、入侵检测、事件响应、合规评估等，降低用户云安全运维门槛。

（二）未来发展趋势

1. 隐私计算在云场景规模化应用：联邦学习、可信执行环境等技术的成熟，将实现云上多租户数据协同计算时的隐私保护，解决数据要素流通的安全痛点。
2. 云安全编排与自动化响应（SOAR）普及：实现云安全事件的自动检测、自动处置，将安全事件响应时间从小时级缩短到分钟级，提升云平台安全运营效率。
3. 跨云统一安全管理成为刚需：随着混合云、多云架构的普及，统一身份认证、统一策略管理、统一威胁检测的跨云安全管理平台，将成为云安全的核心发展方向。

（三）软考考点影响

近年考试中云原生安全、零信任与云安全结合、等保 2.0 云扩展要求等内容的占比逐年提升，考生需重点关注前沿技术与传统云安全知识的结合考点。

云安全技术演进路线图

六、总结与备考建议

（一）核心知识点提炼

1. 云计算四大核心特征、三大服务模式、四大部署模式的定义与安全责任划分，是云安全知识体系的基础。
2. "端 - 管 - 云" 三维威胁模型，特别是云平台侧的 7 类核心特有威胁，是选择题高频考点。
3. 六大新增安全需求的定义、实现机制、标准要求，是案例分析题的核心出题方向。

（二）软考考试重点提示

1. 高频考点：云安全责任共担矩阵、多租户隔离机制、虚拟化特有威胁、等保 2.0 云扩展要求，这四类考点占云安全相关题目的 70% 以上。
2. 易错点：混淆不同服务模式下的安全责任边界，将传统 IT 安全需求与云新增安全需求混淆，忽略数据跨境、供应商锁定等特有风险。
3. 案例分析考点：给定企业云迁移场景，要求分析面临的特有威胁、设计安全防护方案、明确供需双方安全责任。

（三）学习与备考建议

1. 知识梳理：对照本文知识框架，掌握云安全核心概念与逻辑关系，重点记忆责任共担模型、威胁分类、新增需求三类核心内容。
2. 标准学习：重点掌握《网络安全等级保护云计算安全扩展要求》《云计算服务安全评估办法》两份核心文件的关键条款。
3. 习题训练：重点练习 2019 年以后的云安全相关真题，熟悉出题思路与考点侧重，掌握案例分析题的答题框架。
4. 实践补充：可通过公有云免费试用资源，实际操作 VPC 配置、安全组设置、云审计服务等功能，加深对云安全技术的理解。